Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.2.3
III.5.2.3 Social engineering: causaliteitsvraagstukken
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278894:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
CNA.
Alsmede voor CEO-fraude, zie daarvoor §3.9.2.
De ransomware-aanval op de Universiteit Maastricht, die begon met een phishingmail, is daarvan een goed voorbeeld, zie Reactie Universiteit Maastricht op rapport Fox-IT, 5 februari 2020, te raadplegen op https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastrichtpdf.
Zie uitgebreider over verschillende methoden van cybercriminaliteit en vormen van beveiliging A.G. Awesta, De grondslagen van de cyberspace, Deventer Wolters: Kluwer 2018, p. 77 e.v.
De voorstelbare vraag in hoeverre deze specifieke clausule een kernbeding is of zelfs een primaire dekkingsomschrijving behelst (en alle daaraan verbonden gevolgen), is een andere vraag dan de vraag die/het leerstuk dat ik in deze paragraaf naar aanleiding van deze specifieke uitsluiting heb willen behandelen, namelijk de causaliteitsleer in het verzekeringsrecht. Ik verwijs in dit kader tevens naar hoofdstuk I, paragraaf 2.
K. Engel, ‘Causaliteit in het schadeverzekeringsrecht’, NTHR 2017/5, p. 258.
Ibid, p. 258
Zie de conclusie van A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.19.
Zie uitgebreid Engel 2017; Zie ook H.M.B. Brouwer, ‘Naar een dominant-cause-leer in het Nederlandse verzekeringsrecht?’, NTHR 2014/,1 p. 1-13 en H.M.B Brouwer, ‘Eigen gebrek en causaliteit in het verzekeringsrecht’, in: M.L. Hendrikse, Ph.H.J.G. van Huizen & J.G.J. Rinkes (reds.), Verzekeringsrecht, Deventer: Wolters Kluwer 2019, p. 507-528 en de in dat hoofdstuk genoemde rechtspraak. De causa proxima-leer lijkt inmiddels de dominant cause-leer te zijn geworden, zie conclusie A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4,17.
HR 8 juli 1993, NJ 1994/210 (Hogenboom/Unigarant). Het gaat bij verzekeringen immers niet om een wettelijke verplichting tot schadevergoeding, maar om een contractuele gehoudenheid tot uitkering.
Conclusie A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.52; Conclusie A-G Valk 23 oktober 2020, ECLI:NL:PHR:2020:986, sub 3.9.
HR 8 juli 1993, NJ 1994/210 (Hogenboom/Unigarant). Zie ook A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.16 en Chr. H. van Dijk, annotatie bij Rb. Den Haag 15 juli 2020, JA 2020/138.
Asser/Wansink & Van Tiggele 7-IX 2019/510.
Engel 2017, p. 261.
Zurich.
Zie A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.54-72. Hartlief is zelf geen voorstander van de dominant cause-leer. Zie ook de conclusie van A-G Valk, 23 oktober 2020, ECLI:NL:PHR:2020:986.
Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/505 e.v., in het bijzonder nr. 510. Zie voor een bredere interpretatie van de dominant cause-leer H.M.B. Brouwer 2014 en 2019. Zie ook in de jurisprudentie vele discussies over dit onderwerp in het kader van stormschade: o.a. Rb. Rotterdam 14 augustus 2020, ECLI:NL:RBROT:2020:7405; Rb. Den Haag 15 juli 2020, ECLI:NL:RBDHA:2020:6439; Rb. Rotterdam 13 mei 2020, ECLI:NL:RBROT:2020:4438; Rb. Rotterdam 22 april 2020, ECLI:NL:RBROT:2020:4148; Hof Den Haag 2 februari 2020, ECLINL:GHDHA:2020:158; Hof Arnhem-Leeuwarden 17 september 2019, ECLI:NL:GHARL:2019:7566; Hof Den Haag 5 september 2017, ECLI:NL:GHDHA:2017:2476; Rb. Rotterdam 4 november 2016, ECLI:NL:RBROT:2016:8456.
Hof Arnhem-Leeuwarden, 17 september 2019, ECLI:NL:GHARL:2019:7566. Tegen dit arrest is cassatie ingesteld, in welke procedure de conclusie van A-G Hartlief reeds is verschenen: 13 november 2020, ECLI:NL:PHR:2020:1078.
Deze benadering wordt onderschreven door Brouwer 2014 en Ph.H.J.G. van Huizen, Het transportverzekeringsbedrijf: juridische en rechtsvergelijkende beschouwingen (diss.), Apeldoorn: Maklu 1988, alsmede door M.L. Hendrikse, ‘Eigen schuld, proportionaliteitsbeginsel en causaliteitstoerekening: een proportionele benadering bij eigen schuld in het (schade)verzekeringsrecht’, RMThemis 2011/2, p. 48-71. Zie ook Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/511.
Vgl. conclusie A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.89.
Conclusie A-G Hartlief 13 november 2020, ECLI:NL:PHR:2020:1078, sub 4.87 en de daar genoemde literatuur.
Zie conclusie A-G Valk 23 oktober 2020, ECLI:NL:PHR:2020:986, sub 3.31.
Ibid noot 370.
Zurich.
Social engineering is een middel dat criminelen gebruiken om aan informatie te komen, bijvoorbeeld om zich toegang te verschaffen tot netwerken en systemen, of om bedrijven te kunnen oplichten. Dat schade door social engineering niet altijd onder de cyberverzekering is gedekt, is uitgebreid aan bod gekomen in §3.9.2.
De in die paragraaf genoemde voorbeelden betreffen geen expliciete uitsluitingen, maar dekkingsbeperkingen door de definitie van begrippen of door een enge omschrijving van het verzekerde evenement. Slechts een enkele verzekeraar laat er geen misverstand over bestaan en hanteert een expliciete uitsluiting voor (een bepaalde vorm van) social engineering:
“De verzekeraar dekt geen schade of aansprakelijkheid direct of indirect voortvloeiende uit of op enige wijze samenhangende met:
[…]
4. Telefoonphishing en impersonatie
elk verlies dat voortvloeit uit impersonatie of phishing uitgevoerd door middel van een telefoongesprek of ingesproken bericht.”1
Deze uitsluiting lijkt beperkt in die zin dat de uitsluiting enkel ziet op telefonische phishing en impersonatie (‘vishing’).2 Deze vorm van social engineering komt echter veel voor. Daarbij komt dat ook de formulering in de aanhef ruim is: “direct of indirect voortvloeiende uit of op enige wijze samenhangend met…”.
Bij schade na cybercriminaliteit is niet altijd direct duidelijk wat precies de oorzaak van de schade is. Cybercriminelen maken vaak gebruik van meerdere methoden, waar social engineering, bijvoorbeeld door middel van vishing, er slechts een van is.3 De uiteindelijke schade kent veelal in feite meerdere, elkaar opvolgende oorzaken. Tussen deze verschillende oorzaken die hebben geleid tot het slagen van de criminele handeling (bijvoorbeeld het verkrijgen van geld), bestaat vaak een verband. Dit verband is eerder faciliterend dan causaal: door vishing worden bepaalde (inlog)gegevens verkregen, hetgeen toegang mogelijk maakt tot het systeem, waardoor e-mails kunnen worden gespoofd of malware/ransomware kan worden geïnstalleerd, die zich door kwetsbaarheden in de beveiliging kan verspreiden over het netwerk, waardoor vervolgens schade kan worden toegebracht door digitale diefstal of afpersing.4 Met betrekking tot de vraag of de door deze reeks aan gebeurtenissen veroorzaakte schade is gedekt, is dan ook zeer wel denkbaar dat wordt getwist over het antwoord op de vraag in hoeverre de schade dan nog is terug te voeren op de telefonische phishing, de social engineering, die is uitgesloten. Met andere woorden: wat is de oorzaak van de schade?
Zeker bij ruime formuleringen in de polisbepalingen, zoals in de clausule die hierboven is geciteerd, kan zich een causaliteitsvraagstuk voordoen.5 Er kan bijvoorbeeld sprake zijn van een vorm van meervoudige causaliteit, waarbij voor de ene oorzaak wel verzekeringsdekking bestaat, maar voor de andere niet. Engel heeft meervoudige causaliteit helder geduid met het voorbeeld van een gezonken schip als gevolg van een storm en een lekkage door een reeds aanwezig eigen gebrek, bijvoorbeeld wegens slecht onderhoud.6 Zou één van de twee oorzaken er niet zijn geweest, dan was het schip niet gezonken. Daarbij merkt Engel op dat het geen verschil maakt dat de ene oorzaak de andere oorzaak heeft gefaciliteerd. Van samenwerkende oorzaken is sprake indien er meerdere noodzakelijke oorzaken zijn aan te wijzen die de schade hebben doen intreden (die derhalve door iedere afzonderlijke oorzaak niet zou zijn ingetreden), maar waartussen onderling geen verband bestaat.7
De conditio-sine-qua-non-leer biedt in deze gevallen geen uitkomst.8 De oorzaak van de schade kan worden vastgesteld aan de hand van verschillende causaliteitstheorieën, waaronder de causa remota-leer, de causa proxima-leer en de dominant cause-leer.9 De leer van de redelijke toerekening ex artikel 6:98 BW geldt niet in het verzekeringsrecht.10 Een proportionele benadering kan echter in het licht van de aanvullende werking van redelijkheid en billijkheid (artikel 6:248 lid 2 BW) op zichzelf wel als suggestie voor de uitleg van causaliteit worden gehanteerd.11 Op welke wijze het causaal verband moet worden vastgesteld, hangt op de eerste plaats af van hetgeen partijen zijn overeengekomen en, zou daarover een geschil bestaan, op uitleg van die overeenkomst.12 Indien partijen daarin geen keuze hebben gemaakt en de polisvoorwaarden dus geen causaliteitsmaatstaf bevatten (bijvoorbeeld formuleringen als ‘rechtstreeks’ of ‘direct of indirect’), komt het aan op de causaliteitsmaatstaf die het meeste recht doet aan de inhoud en strekking van de overeenkomst.13
In het hierboven geciteerde voorbeeld van de uitsluitingsclausule, waarin schade is uitgesloten die direct of indirect voortvloeit uit, of op enige wijze samenhangt met telefoon phishing, is al in de clausule een causaliteitsmaatstaf neergelegd. De vraag is hoe ruim deze causaliteitsbepaling moet worden geïnterpreteerd. Dit is primair een uitlegvraag. Door de bewoordingen “direct of indirect voortvloeiende uit of op enige wijze samenhangende met”, valt evenwel te betogen dat de verzekeraar blijk geeft van de causa remota-leer: “de oorzaak van de schade is het in de tijd verst verwijderde feit van waaraf de schade naar ervaringsregels redelijkerwijs het te verwachten gevolg was.”14 Op grond daarvan zou de verzekeraar het standpunt kunnen innemen dat de schade is terug te leiden tot de telefonische phishing waarmee inloggegevens zijn verkregen en dus is uitgesloten. Zou dit standhouden, dan betekent dit een grote inperking van de dekkingsomvang.
In de andere onderzochte polisvoorwaarden is ook een voorbeeld te vinden van een impliciete uitsluiting van schade door social engineering waarbij de clausule geen causaliteitsmaatstaf bevat:
“Computer crime
Zurich vergoedt aan verzekerde de door verzekerde geleden directe financiële schade als gevolg van frauduleuze elektronische overboekingen, diefstal van zaken, geld of waardepapieren die uitsluitend aan verzekerde toebehoren, zulks voortvloeiende uit en rechtstreeks als gevolg van de onbevoegde toegang of misbruik door een derde van het computersysteem van verzekerde (welke financiële schade is ontstaan zonder gebruik van social engineering).”15 (onderstreping NMB)
Wat deze verzekeraar exact verstaat onder social engineering is niet duidelijk; een definitie ontbreekt. Evenmin is bij deze bepaling helder in welke mate de social engineering moet hebben bijgedragen aan het ontstaan van de schade. Een duidelijke keuze voor een causaliteitstheorie blijkt niet uit de polisbepaling en kan dus tot discussie leiden.
Aan de hand van de dominant cause-leer, waarover in de literatuur wisselend wordt geschreven, maar die in de rechtspraak terrein lijkt te winnen,16 kan een gebeurtenis als oorzaak van de schade worden aangemerkt indien deze de rechtens relevante oorzaak is geweest. Een oorzaak is rechtens relevant indien zij geldt als de meest effectieve of meest dominerende factor voor het ontstaan van de schade, althans dat de daaropvolgende gebeurtenissen geen zelfstandige betekenis hebben en terug te voeren zijn op die ene gebeurtenis.17 De rechtens relevante oorzaak wordt mede vastgesteld met inachtneming van de regels van gezond verstand.18
Hiervóór benoemde ik al dat het vaststellen van de (rechtens relevante) oorzaak bij cybercriminaliteit complex is. De voor diefstal/fraude door middel van cybercriminaliteit vereiste handelingen hangen vaak (op faciliterende wijze) met elkaar samen en hebben elk op zichzelf in meer of mindere mate zelfstandige betekenis. Dat de schade zonder meer is terug te voeren op een eerste aanval van social engineering, of dat deze oorzaak de meest dominerende factor is geweest, zal niet altijd eenvoudig zijn aan te tonen. Dit neemt niet weg dat een dergelijke uitsluiting, zou de verzekeraar slagen in het bewijs dat de social engineering de rechtens relevante oorzaak is van de schade, fundamenteel is. Denk bijvoorbeeld aan het eerder genoemde voorval bij de Universiteit Maastricht, waaraan een phishingmail ten grondslag lag. De dekking zou dan op grond van voornoemde uitsluiting geheel kunnen worden ontzegd.
Indien niet goed is vast te stellen welke van de elkaar opvolgende oorzaken de rechtens relevante oorzaak is geweest, terwijl wel vaststaat dat de schade bij het ontbreken van één van de oorzaken niet zou zijn ontstaan, biedt een proportionele benadering mogelijk een oplossing.19 Daarbij dient dan wel te kunnen worden vastgesteld welke factor afzonderlijk voor welk percentage aan de schade heeft bijgedragen, mede bezien in het licht van de aard van de verzekering en de (geobjectiveerde) bedoelingen en verwachtingen van partijen.20 Deze benadering kan ruimte bieden voor maatwerk, dat, zo merkt A-G Hartlief op, ook in andere disciplines in het civiele recht een opmars maakt.21 De vraag rijst echter hoe die vaststelling dient plaats te vinden en of dat wel in alle gevallen mogelijk is. In de jurisprudentie heeft een dergelijke proportionele verdeling plaatsgevonden op basis van ‘ervaringsgegevens’, maar in de context van cyber is dat vooralsnog een lastig criterium.22 In de literatuur wordt gepleit om voor die gevallen waarin vaststelling van het bijdragepercentage van de verschillende schadeoorzaken niet (goed) mogelijk is, een toerekening naar gelijke delen te hanteren.23 Indien vaststaat dat social engineering (niet gedekt) aan de wieg heeft gestaan van schade door een cyberincident (wel gedekt), dan leidt deze verdeling mijns inziens tot een billijk resultaat dat recht doet aan de inhoud en strekking van de verzekeringsovereenkomst.
Los van de mogelijke causaliteitsdiscussie leidt de bovengenoemde polisbepaling ook bij verdere lezing daarvan tot vragen. Waar bij computer crime de bovengenoemde voorwaarde geldt dat de financiële schade is ontstaan zonder gebruik van social engineering, biedt deze cyberverzekering ten aanzien van CEO-fraude wel degelijk dekking indien de schade is ontstaan door social engineering:
“C.2 Social Engineering en CEO-fraude
Zurich vergoedt aan verzekerde de door verzekerde geleden directe financiële schade als gevolg van:
a. een frauduleuze elektronische, telefoon- of e-mailinstructie om vanaf een rekening van verzekerde bij een financiële instelling te debiteren en om geld van deze rekening over te maken, te betalen of over te dragen waarbij de instructies afkomstig lijken te zijn van verzekerde terwijl deze in feite op frauduleuze wijze door een derde zijn gewijzigd, verzonden, vervalst of uitgegeven zijn.
b. een overdracht door een verzekerde die te goeder trouw geld of waardepapieren heeft overgedragen op basis van een overboekingsopdracht die door een verzekerde persoon, klant of leverancier leek te zijn uitgegeven terwijl de overboekingsopdracht frauduleus blijkt te zijn gegeven door een daartoe onbevoegd en onbedoeld persoon die heeft gehandeld zonder medeweten of toestemming van de verzekerde persoon, klant of leverancier.
Let op! Zurich zal geen dekking bieden voor de directe financiële schade die ontstaat als gevolg van social engineering wanneer de overboeking:
a. door een verzekerde persoon is verricht die daartoe niet gemachtigd was.
b. door een verzekerde persoon is verricht die niet handelde op basis van goede trouw.
c. niet eerst door een werknemer is geverifieerd aan de hand van een daartoe gangbare verificatieprocedure.”24
Het verschil in deze dekkingselementen, waarin in het ene geval geen dekking bestaat bij social engineering, terwijl in het andere geval social engineering duidelijk wel is gedekt, laat zich niet direct goed verklaren en kan daardoor leiden tot onduidelijkheid over de precieze dekkingsomvang van de verzekering.
(Potentiële) verzekerden dienen alert te zijn op uitsluitingen van schade als gevolg van social engineering. Uit de voornoemde voorbeelden blijkt dat, afhankelijk van de formulering van de clausules, complexe discussies zouden kunnen ontstaan over de omvang van de dekking, mogelijk met verstrekkende gevolgen.